@echo off
echo #####################################################
echo #		Lancement du dump memoire           #
echo #####################################################
pause
md analyse
start /WAIT winpmem_1.5.5.exe memory.dmp 

echo ####################################################
echo #		Dump memoire terminer              #
echo #		memory.dmp cree                    #
echo ####################################################

echo ####################################################
echo #		Creation des fichiers d analyses   #
echo ####################################################

start  /WAIT volatility-2.3.1.standalone.exe imageinfo -f memory.dmp --output=text --output-file=analyse/imageinfo.txt 


echo ####################################################
echo #  Precisez le systeme d exploitation de la machine#
echo #  Presser 1 : Pour WinXPSP2x86 ou WinXPSP3x86     #
echo #  Presser 2 : For Win7SP1 ou Win7SP0              #
echo #  Presser 3 : Rentrer le type de machine manuelle #
echo ####################################################
SET /P choix=Rentrez votre choix :
IF %choix%==1 (
set type=WinXPSP3x86
)
IF %choix%==2 (
set type=Win7SP1x64
)
IF %choix%==3 (
echo Le type de la machine peut etre recuperer dans le fichier imageinfo.txt cree precedemennt
SET /P type=Entrer le type de la machine : 

)

echo Recuperation des processus dans processlist.txt
start /WAIT  volatility-2.3.1.standalone.exe -f memory.dmp --profile=%type% pslist --output=text --output-file=analyse/processlist.txt
echo Recuperation et scan des processus dans processscan.txt
start /WAIT  volatility-2.3.1.standalone.exe -f memory.dmp --profile=%type% psscan --output=text --output-file=analyse/processscan.txt 
echo Recuperation de la liste des dll dans listdll.txt
start /WAIT  volatility-2.3.1.standalone.exe -f memory.dmp --profile=%type% dlllist --output=text --output-file=analyse/listdll.txt 
echo Recuperation de l arborescence des processus dans processtree.txt
start /WAIT  volatility-2.3.1.standalone.exe -f memory.dmp --profile=%type% pstree --output=text --output-file=analyse/processtree.txt
echo Recuperation des commandes rentrer dans la console dans comconsoles.txt
start /WAIT  volatility-2.3.1.standalone.exe -f memory.dmp --profile=%type% consoles --output=text --output-file=analyse/comconsoles.txt 

echo Recuperation des adresses memoires des registres dans registrelist.txt

start /WAIT  volatility-2.3.1.standalone.exe -f memory.dmp --profile=%type% hivelist  --output=text --output-file=analyse/registrelist.txt 

echo Recuperation des cle de registre dans cleregistre.txt

start /WAIT  volatility-2.3.1.standalone.exe -f memory.dmp --profile=%type% printkey  --output=text --output-file=analyse/cleregistre.txt 



if "%type%" == "WinXPSP3x86" (
echo Recuperation des connections dans connections.txt
start /WAIT  volatility-2.3.1.standalone.exe -f memory.dmp --profile=%type% connections --output=text --output-file=analyse/connections.txt 
echo Recuperation des connections actives dans connectionsactive.txt
start /WAIT  volatility-2.3.1.standalone.exe -f memory.dmp --profile=%type% connscan --output=text --output-file=analyse/connectionsactive.txt 
echo Recuperation des sockets ouverte dans sockets.txt
start /WAIT  volatility-2.3.1.standalone.exe -f memory.dmp --profile=%type% sockets --output=text --output-file=analyse/sockets.txt 
echo Recuperation sockets fermer ou non lie dans sockscan.txt
start /WAIT  volatility-2.3.1.standalone.exe -f memory.dmp --profile=%type% sockscan --output=text --output-file=analyse/sockscan.txt 
)
if "%type%" == "WIN7SPIx64" (
echo Recuperation des connections et des sockets dans netscan.txt
start /WAIT  volatility-2.3.1.standalone.exe -f memory.dmp --profile=%type% netscan --output=text --output-file=analyse/netscan.txt 
)
echo Recuperations des services lancee dans services.txt
start /WAIT  volatility-2.3.1.standalone.exe -f memory.dmp --profile=%type% svcscan --output=text --output-file=analyse/services.txt 

echo Recuperation des device connectee devconn.txt
start /WAIT  volatility-2.3.1.standalone.exe -f memory.dmp --profile=%type% devicetree --output=text --output-file=analyse/devconn.txt 

echo Recuperation des fonctions des drivers dans drivefct.txt
start /WAIT  volatility-2.3.1.standalone.exe -f memory.dmp --profile=%type%  driverrip --output=text --output-file=analyse/drivefct.txt 

echo Recuperation du detail des threads dans threads.txt

start /WAIT  volatility-2.3.1.standalone.exe -f memory.dmp --profile=%type%  threads   --output=text --output-file=analyse/threads.txt 


SET /P dump=Voulez vous recuperer les DLL ? oui ou non    
IF %dump%==oui (
md dump

echo Recuperation des dumps dll dans le dossier dump et recuperation de la liste dans listdll.txt
start /WAIT  volatility-2.3.1.standalone.exe -f memory.dmp --profile=%type% dlldump -D dump --output=text --output-file=analyse/listdll.txt 

)

SET /P history=Voulez vous recuperer l'historique de navigation ? oui ou non   
IF %history%==oui (
echo Recuperation de l'historique de navigation dans navigation.txt
start /WAIT  volatility-2.3.1.standalone.exe -f memory.dmp --profile=%type% iehistory --output=text --output-file=analyse/navigation.txt 

)
echo "Terminer"
pause
